facebook-pixel

QR-Code-Betrug 2026: So Schützen Sie Sich vor Quishing

L
Lunyb Sicherheitsteam
··8 min read

QR-Codes sind aus dem Alltag nicht mehr wegzudenken: Sie führen zu Speisekarten, ermöglichen kontaktloses Bezahlen und ersetzen Papiertickets. Doch genau diese Allgegenwart macht sie zu einem attraktiven Werkzeug für Kriminelle. Der Begriff Quishing – eine Kombination aus QR-Code und Phishing – beschreibt eine Betrugsmasche, die 2026 zu den am schnellsten wachsenden Cybergefahren in Deutschland gehört. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) warnen zunehmend vor manipulierten QR-Codes auf Parkscheinautomaten, Ladesäulen und in gefälschten Briefen.

In diesem umfassenden Leitfaden erfahren Sie, wie QR-Code-Betrug funktioniert, welche typischen Maschen aktuell im Umlauf sind und mit welchen konkreten Schritten Sie sich, Ihre Familie und Ihr Unternehmen wirksam schützen können.

Was ist QR-Code-Betrug (Quishing)?

QR-Code-Betrug bezeichnet eine Form des Phishing-Angriffs, bei der Kriminelle manipulierte QR-Codes einsetzen, um Opfer auf betrügerische Webseiten zu locken, Schadsoftware zu verbreiten oder Zahlungen umzuleiten. Da QR-Codes für das menschliche Auge nicht lesbar sind, lässt sich das eigentliche Ziel – die URL – erst nach dem Scannen erkennen, was Angreifern einen entscheidenden Vorteil verschafft.

Ein QR-Code ist im Grunde nur ein visueller Container für Daten – meist eine Webadresse. Anders als bei einem herkömmlichen Link können Sie vor dem Klick nicht auf die URL schauen. Diese Intransparenz macht Quishing besonders effektiv: Selbst technisch versierte Nutzer scannen QR-Codes oft reflexartig, ohne die Zieladresse zu prüfen.

Warum Quishing 2026 stark zunimmt

  • Vertrauen in QR-Codes: Seit der Pandemie sind QR-Codes im öffentlichen Raum normalisiert.
  • Umgehung von E-Mail-Filtern: Ein QR-Code in einer E-Mail wird von vielen Spam-Filtern als harmloses Bild erkannt.
  • Mobile Angriffsfläche: Smartphones haben oft schwächere Sicherheitsmechanismen als Desktop-Systeme.
  • Einfache Herstellung: Aufkleber mit gefälschten QR-Codes lassen sich billig produzieren und überkleben Originale.

Die häufigsten QR-Code-Betrugsmaschen in Deutschland

Betrüger passen ihre Methoden ständig an. Die folgenden Varianten sind derzeit besonders verbreitet und werden regelmäßig von Verbraucherzentralen und der Polizei gemeldet.

1. Manipulierte Parkscheinautomaten und Ladesäulen

Kriminelle bringen Aufkleber mit gefälschten QR-Codes auf Parkautomaten oder Ladesäulen für Elektrofahrzeuge an. Die Codes führen zu täuschend echten Zahlungsseiten, die Kreditkartendaten oder Bankinformationen abgreifen. Der Parkvorgang wird nie bezahlt – das Bußgeld kommt später hinzu.

2. Gefälschte Briefe von Banken und Behörden

Immer häufiger versenden Betrüger täuschend echte Briefe im Namen von Sparkassen, der Deutschen Bank oder Behörden wie dem Finanzamt. Der Brief fordert zur "Verifizierung" per QR-Code auf. Die dahinterliegende Seite ist eine perfekte Kopie des Original-Onlinebankings und erfasst Zugangsdaten sowie TAN-Codes.

3. Restaurant-Speisekarten mit falschen Codes

Über die originalen QR-Codes auf Tischen werden Aufkleber geklebt. Statt zur Speisekarte gelangt der Gast zu Werbung mit versteckten Abo-Fallen oder zu Malware-Downloads.

4. Falsche Paket-Benachrichtigungen

Aufkleber an Haustüren oder in Briefkästen imitieren DHL, Hermes oder DPD. Der QR-Code führt zu einer Seite, die eine "Zollgebühr" oder "Zustellgebühr" verlangt.

5. Krypto-Betrug und gefälschte Spenden-Codes

Bei Wohltätigkeitsaktionen, in sozialen Medien oder auf Plakaten tauchen QR-Codes auf, die angeblich zu Spendenseiten führen – tatsächlich landen die Beträge auf Kryptowallets der Kriminellen.

Wie ein Quishing-Angriff technisch abläuft

Um sich effektiv zu schützen, hilft es zu verstehen, wie ein typischer Angriff aufgebaut ist. Der Ablauf folgt meist einem Muster in fünf Schritten:

  1. Vorbereitung: Der Angreifer registriert eine Domain, die einer bekannten Marke ähnelt (z. B. "sparkasse-verifizierung.de").
  2. Klonen: Die Login-Seite des Originalanbieters wird pixelgenau nachgebaut.
  3. Verteilung: Der QR-Code wird als Aufkleber, in E-Mails, in Briefen oder auf Plakaten verbreitet.
  4. Datenerfassung: Nach dem Scan gibt das Opfer Zugangsdaten, TANs oder Zahlungsinformationen ein.
  5. Ausnutzung: Die Daten werden in Echtzeit für Überweisungen oder Identitätsdiebstahl missbraucht.

10 Schutzmaßnahmen gegen QR-Code-Betrug

Ein wirksamer Schutz vor Quishing besteht aus einer Kombination technischer Vorkehrungen und aufmerksamem Verhalten. Die folgenden zehn Maßnahmen sollten Sie sich zur Gewohnheit machen.

1. Prüfen Sie die URL vor dem Öffnen

Moderne Smartphone-Kameras zeigen die Ziel-URL vor dem Öffnen an. Nehmen Sie sich diese zwei Sekunden Zeit. Achten Sie auf Schreibfehler, ungewöhnliche Top-Level-Domains (.xyz, .top) oder Subdomains, die nur so aussehen wie das Original.

2. Verwenden Sie einen sicheren QR-Scanner

Statt der Standard-Kamera können spezialisierte Scanner Warnungen bei verdächtigen URLs anzeigen. Achten Sie darauf, keine App mit übermäßigen Berechtigungen zu installieren.

3. Achten Sie auf physische Manipulationen

Prüfen Sie bei Parkautomaten, Ladesäulen und Speisekarten, ob der QR-Code aufgeklebt wurde. Aufkleber lassen sich oft an den Rändern erkennen oder leicht ablösen.

4. Nutzen Sie offizielle Apps

Für Parken, Bezahlen und Behördengänge gibt es offizielle Apps. Diese sind sicherer als Zahlungsseiten, die Sie über einen QR-Code erreichen.

5. Geben Sie niemals Bankdaten nach einem QR-Scan ein

Seriöse Banken fordern niemals per QR-Code zur Eingabe von PIN, TAN oder Passwort auf. Öffnen Sie das Onlinebanking immer über die offizielle App oder tippen Sie die Adresse manuell in den Browser ein.

6. Setzen Sie auf verschlüsselte Verbindungen

Achten Sie darauf, dass die Zielseite mit HTTPS aufgerufen wird. Fehlt das Schloss-Symbol, sollten Sie die Seite sofort verlassen. Zusätzlich hilft Ende-zu-Ende-Verschlüsselung, sensible Daten grundsätzlich zu schützen.

7. Aktivieren Sie die Zwei-Faktor-Authentifizierung

Selbst wenn Ihre Zugangsdaten in falsche Hände geraten, verhindert ein zweiter Faktor (App, Hardware-Schlüssel) den unbefugten Zugriff.

8. Nutzen Sie datenschutzfreundliche Browser

Browser mit integriertem Phishing-Schutz erkennen viele betrügerische Seiten automatisch. Einen Überblick geeigneter Alternativen finden Sie in unserem Vergleich der besten datenschutzfreundlichen Browser 2026.

9. Halten Sie Betriebssystem und Apps aktuell

Sicherheitslücken auf Smartphones werden regelmäßig geschlossen. Automatische Updates sollten aktiviert sein.

10. Schulen Sie Ihr Umfeld

Sprechen Sie mit Familie, Freunden und Kollegen über Quishing. Ältere Menschen sind besonders gefährdet, wenn sie mit gefälschten Behördenbriefen konfrontiert werden.

Vergleich: Sichere vs. unsichere QR-Code-Situationen

Die folgende Tabelle hilft Ihnen, das Risiko schnell einzuschätzen:

Situation Risikostufe Empfehlung
QR-Code auf offizieller Behörden-Webseite Niedrig Nach URL-Prüfung nutzbar
QR-Code in einer E-Mail von unbekanntem Absender Sehr hoch Nicht scannen
Aufkleber auf Parkautomat oder Ladesäule Hoch Offizielle App verwenden
Gedruckte Speisekarte im Restaurant Mittel Auf Aufkleber prüfen
QR-Code in Brief mit Zahlungsaufforderung Sehr hoch Bank/Behörde direkt kontaktieren
QR-Code auf Produktverpackung eines Markenherstellers Niedrig URL vor Öffnen prüfen

Was tun, wenn Sie Opfer geworden sind?

Wenn Sie den Verdacht haben, auf einen betrügerischen QR-Code hereingefallen zu sein, sollten Sie sofort handeln. Jede Minute zählt, um finanziellen Schaden zu begrenzen.

  1. Bank kontaktieren: Sperren Sie über die Notrufnummer 116 116 sofort alle betroffenen Karten und Konten.
  2. Passwörter ändern: Ändern Sie umgehend das Passwort des betroffenen Dienstes sowie aller Konten, bei denen Sie dasselbe Passwort verwendet haben.
  3. Anzeige erstatten: Wenden Sie sich an die örtliche Polizei oder nutzen Sie die Online-Wache Ihres Bundeslandes.
  4. Datenschutzbehörde informieren: Wurden personenbezogene Daten abgegriffen, ist eine Meldung an den zuständigen Landesdatenschutzbeauftragten sinnvoll (DSGVO-Verpflichtung für Unternehmen).
  5. Beweise sichern: Fotografieren Sie den manipulierten QR-Code und speichern Sie Screenshots betrügerischer Seiten.
  6. Verbraucherzentrale melden: So helfen Sie, andere zu warnen.

Sichere Nutzung von QR-Codes für Unternehmen

Wer QR-Codes selbst zur Kommunikation einsetzt – etwa auf Visitenkarten, in Marketingmaterial oder in Rechnungen – trägt Verantwortung für die Sicherheit der Empfänger. Diese Grundregeln sollten Sie beachten:

  • Klarheit über die Ziel-URL: Drucken Sie die Ziel-URL zusätzlich zum QR-Code lesbar mit ab.
  • Nachverfolgbare Kurz-URLs verwenden: Statt kryptischer Links helfen professionelle Kurz-URL-Dienste wie Lunyb, die Klicks statistisch auswerten und verdächtige Aktivitäten sichtbar machen. Auch lassen sich Ziele bei Bedarf ändern, ohne den QR-Code neu zu drucken.
  • Domain-Vertrauen aufbauen: Verwenden Sie eigene Domains, keine anonymen Freehoster.
  • Sabotageschutz: Bringen Sie QR-Codes so an, dass Aufkleber sofort erkennbar wären (z. B. laminiert unter Glas).

Einen Vergleich seriöser Anbieter finden Sie in unserem Übersichtsartikel zu den besten URL-Kürzungsdiensten 2026 sowie im Ratgeber Bitly-Alternativen 2026.

Rechtliche Einordnung nach deutschem Recht

QR-Code-Betrug erfüllt in Deutschland mehrere Straftatbestände. Neben Betrug (§ 263 StGB) kommen Computerbetrug (§ 263a StGB), Ausspähen von Daten (§ 202a StGB) und Fälschung beweiserheblicher Daten (§ 269 StGB) in Betracht. Unternehmen, die Kundendaten durch mangelnde Sicherheitsvorkehrungen verlieren, riskieren zusätzlich DSGVO-Bußgelder.

Der BfDI empfiehlt Unternehmen ausdrücklich, technische und organisatorische Maßnahmen nach Art. 32 DSGVO umzusetzen. Dazu gehört auch die Absicherung eigener QR-Code-Kampagnen gegen Manipulation.

Zusätzliche Absicherung: Netzwerkebene und private Suche

Neben verhaltensbasierten Schutzmaßnahmen bieten technische Absicherungen auf Netzwerkebene zusätzlichen Schutz:

  • Verschlüsseltes DNS (DoH/DoT): Blockiert bekannte Phishing-Domains bereits auf DNS-Ebene.
  • Datenschutzfreundliche Suchmaschinen: Reduzieren das Tracking, das Angreifer für gezielte Attacken nutzen können.
  • Umgekehrte Bildersuche: Bei verdächtigen QR-Codes auf Fotos kann eine umgekehrte Bildersuche helfen, die ursprüngliche Quelle zu identifizieren.
  • Passwort-Manager: Diese füllen Zugangsdaten nur auf der korrekten Original-Domain automatisch aus – ein einfacher, aber wirksamer Phishing-Schutz.

FAQ: Häufige Fragen zum QR-Code-Betrug

Kann mein Smartphone allein durch das Scannen eines QR-Codes infiziert werden?

In den meisten Fällen nicht direkt. Der QR-Code selbst enthält nur Daten – meist eine URL. Gefährlich wird es erst, wenn die geöffnete Webseite eine Sicherheitslücke ausnutzt oder Sie zum Download einer schädlichen App verleitet. Ein aktuelles Betriebssystem und Vorsicht bei App-Installationen sind daher entscheidend.

Wie erkenne ich einen gefälschten QR-Code auf einem Parkautomaten?

Prüfen Sie, ob der QR-Code aufgeklebt wurde (Ränder, Blasen, andere Oberflächenstruktur). Vergleichen Sie den Betreibernamen auf dem Automaten mit der beim Scan angezeigten URL. Bei Zweifeln nutzen Sie die offizielle App des Parkraumbetreibers oder zahlen bar.

Sind QR-Codes in E-Mails grundsätzlich verdächtig?

Ja, besonders wenn sie zur Eingabe von Zugangsdaten auffordern. Legitime Unternehmen versenden solche Aufforderungen selten per E-Mail mit QR-Code. Öffnen Sie im Zweifel die betreffende Seite direkt über die offizielle App oder Ihren Browser, ohne den QR-Code zu scannen.

Kann ich einen QR-Code-Betrug bei der Polizei anzeigen?

Ja, jeder Betrugsversuch – auch ohne finanziellen Schaden – kann und sollte bei der Polizei angezeigt werden. Nutzen Sie die Online-Wachen der Bundesländer oder gehen Sie persönlich zur nächsten Dienststelle. Bringen Sie alle Beweise (Fotos, Screenshots, Briefe) mit.

Sind kostenlose QR-Code-Scanner-Apps sicher?

Nicht alle. Viele kostenlose Scanner enthalten aggressive Werbung, sammeln Nutzungsdaten oder fordern übertriebene Berechtigungen. Die beste Wahl ist meist die integrierte Kamera-App Ihres Smartphones (iOS und Android unterstützen QR-Codes nativ), die zudem regelmäßige Sicherheitsupdates erhält.

Fazit

QR-Code-Betrug ist eine wachsende, aber beherrschbare Gefahr. Der wichtigste Schutz besteht darin, QR-Codes nicht mehr reflexartig zu scannen, sondern die Ziel-URL kurz zu prüfen und bei sensiblen Vorgängen wie Bankgeschäften auf offizielle Apps zurückzugreifen. Mit einer Kombination aus gesundem Misstrauen, aktueller Technik und den in diesem Leitfaden beschriebenen Maßnahmen können Sie das Risiko drastisch reduzieren – und zugleich Ihre Familie, Kollegen und Kunden vor den Folgen von Quishing schützen.

Protect your links with Lunyb

Create secure, trackable short links and QR codes in seconds.

Get Started Free

Related Articles